Webseite sprengt Firefox 2 und 3

    Bei Folgender Webseite geht sowohl Firefox 2 als auch 3 total in die Knie:

    http://www.vesnasouc.co.yu/

    Wenn man hier auf egal welchen Eintrag auf der linken Seite geht (ausser dem ersten d. h . personal information) dann wird dei Seite korrekt geladen - aber gleichzeitig bläht sich Firefox innerhalb von Sekunden extrem auf so dass nach 5-10 Sekunden etwa 200 MB groß ! Das ganze geht dann soweit bis Windows total blockt und man nur mit der Taskmanager Firefox schließen kann um den PC weiter nutzen zu können. Bei Verwendung von IE wird die Seite korrekt angezeigt - WARUM ?!?!?!?!?!?!?[/url]

    Naja... Die Seite ist zwar keinesfalls standardkonform und außerdem ein Flickenteppich aus Frames, aber es darf trotzdem nicht sein, dass reines HTML (das Problem tritt bei mir auch auf, wenn JavaSript deaktiviert ist) den Firefox aus dem Tritt bringt. Ich halte das klar für einen Firefox-Bug, habe aber gerade nicht die Zeit zu analysieren, woran es genau liegt.

    Die Seite ist übrigens von meiner Tante (Dirigentin) und wird von einem angeblich gutem Webdesigner verwaltet. 1. finde ich die Seite scheiße gemacht (technisch und teilweise auch optisch) und 2. habe ich das Gefühl, dass der Typ noch über eine andere Masche am bescheißen ist:

    Gelangt man das erste mal auf die Seite und clickt dann egal wo, dann öffnet sich ein neues Tag mit folgender Seite http://cqamfgves.com/cgi-bin/index.cgi?dx

    Ich glaube, dass der Arsch hier mittels Javascript eine zusätzliche Einnahmequelle geschaffen hat ! :evil::evil::evil:
    Nur leider werde ich aus dem Javascirpt kauderwelsch nicht schlau weil ich mit Javascript nichts am Hut habe.

    Vielleicht kann mir ja mal jemand sagen, was sich hinter der meterlangen Javascript-Zeile (vorletzte Zeile des Quelltextes direkt auf der Hauptseite) verbirgt??? Vermute ich richtig und es ist der Befehl zum öffnen des Links ??? Bitte sagt es mir damit ich dem Arsch das Leben zur Qual machen kann ! Knüpft monatlich Geld ab und dann so eine Scheiße !

    Übrigens: beim öffnen der Seite mit dem IE5 kommt sofort von meinem Avira AntiVir Meldung über gefundenen Virus JS/Dldr.Agent.PP ?!?!? Ist der ein Blindgänger vom Antivir oder ist da was dran ?

    BDW: Ist hier vielleicht jemand dabei der ein paar Taler mit der Betreuung dieser Webseite (wirklich nicht viel Arbeit...maximal 1 Stunde monatlich und vielleicht einmalig 10-20 Stunden um die Seite auf Vordermann zu bringen wie z. B. Umstellung auf 1024er Auflösung) verdienen will ??? Keine Frontpage-Spezis sondern leute die wirklich Ahnung haben (muss nicht gleich Gurus sein aber halt in der Lage eine gute Seite aufzubauen und zu pflegen d. h. gelegentlich erweitern).

    Einmal editiert, zuletzt von curcuma (22. Juli 2008 um 19:06)

    Zitat von curcuma


    Übrigens: beim öffnen der Seite mit dem IE5 kommt sofort von meinem Avira AntiVir Meldung über gefundenen Virus JS/Dldr.Agent.PP ?!?!? Ist der ein Blindgänger vom Antivir oder ist da was dran ?

    Die bekomme ich auch mit dem Firefox.

    Ich würde den Typ echt kündigen und die jemand andern suchen.

    Gruss
    Raiko

    Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 - Build ID: 20100914123505

    Abends!

    Vorab : Bitte etwas sinnig mit dem obigen Link .
    Und @Mods : Vielleicht in die Sicherheitsecke verschieben?
    Hintergrund:
    Ich habe mich zunächst für die URL des "Fensters" interessiert und siehe da:
    Alte Bekannte vom Affenfelsen.
    Tante Google spuckt zum Registranten einiges aus.
    Die betroffene Seite habe ich mir noch nicht angeschaut ; eine Quersuche aber bringt einen Verweis auf eine Firma namens haloteam (dot)rs , die
    angeblich auch die eingangs erwähnte Seite im Portfolio hat oder hatte...
    Jaja.Die wird bei Bluehost betreut.
    Fazit:
    Für meinen Geschmack etwas zuviele Merkwürdigkeiten.
    Altbacken bin ich auch : Die Endungen .co.yu und .rs waren mir bislang nicht geläufig .

    So. erstmal eine schöpferische Pause ...
    :twisted:
    Gruß

    P.

    @ PvW
    Erst mal vielen Dank für die Infos !!!
    Hierzu eine Frage: wo GENAU finde ich einen Verweis auf die Firma
    Haloteam ??? Das ist von großer Bedeutung weil der Geschäftsführer
    der Firma die Webseite meiner Tante prorammiert hat - somit (Verweis bzw. Querverweis) dürfte dann ganz klar nachweisbar sein, dass Haloteam mit Sinclare Vabalon, BHG aus Gibraltar was zu tun hat !

    Die Endung .yu steht für Jugoslawien (Yugoslavia) und wird nach und nach abgeschafft und in .rs umgewandelt da es Jugoslawien schon seit etlichen Jahren nicht mehr gibt sondern jetzt halt Kroatien, Slovenien, Bosnien+Herzegovina, Serbien+Montenegro...und .rs steht für Republika Srpska = Serbische Republik.

    Was ist mit dem genannten Javascript ??? Kann mir da keiner genaueres zu sagen? Mit welchem Tool kann ich den Javascirpt-Kaudawelsch (fast 2 A4-Seiten nur Sonderzeichen und Zahlen...also nichts worauf man "so" auf eine Verlinkung schließen kann.

    Wenn es Dir hilft, bitteschön, musst es aber selbst formatieren.

    Zitat

    if (navigator.cookieEnabled){var pop_under = null;var pop_cookie_name = "advmaker_komap";var pop_timeout = 720;function pop_cookie_enabled(){var is_enabled = false;if (!window.opera && !navigator.cookieEnabled)return is_enabled;if (typeof document.cookie == 'string')if (document.cookie.length == 0){document.cookie = "test";is_enabled = document.cookie == 'test';document.cookie = '';}else{is_enabled = true;}return is_enabled;}function pop_getCookie(name){var cookie = " " + document.cookie;var search = " " + name + "=";var setStr = null;var offset = 0;var end = 0;if (cookie.length > 0){offset = cookie.indexOf(search);if (offset != -1){offset += search.length;end = cookie.indexOf(";", offset);if (end == -1){end = cookie.length;}setStr = unescape(cookie.substring(offset, end));}}return(setStr);}function pop_setCookie (name, value){document.cookie = name + "=" + escape(value) + "; expires=Friday,31-Dec-50 23:59:59 GMT; path=/;";}function show_pop(){var pop_wnd = "http://cqamfgves.com/cgi-bin/index.cgi?dx";var fea_wnd = "scrollbars=esizable=1,toolbar=1,location=1,menubar=1,status=1,directories=0";var need_open = true;if (document.onclick_copy != null)document.onclick_copy();if (document.body.onbeforeunload_copy != null)document.body.onbeforeunload_copy();if (pop_under != null){if (!pop_under.closed)need_open = false;}if (need_open){if (pop_cookie_enabled()){val = pop_getCookie(pop_cookie_name);if (val != null){now = new Date();val2 = new Date(val);utc32 = Date.UTC(now.getFullYear(), now.getMonth(), now.getDate(), now.getHours(), now.getMinutes(), now.getSeconds());utc2 = Date.UTC(val2.getFullYear(), val2.getMonth(), val2.getDate(), val2.getHours(), val2.getMinutes(), val2.getSeconds());if ( ( utc32 - utc2 ) / 1000 <pop_timeout>=0 || navigator.userAgent.indexOf("Windows 98")>=0 || navigator.userAgent.indexOf("Windows NT")>=0 )&&(navigator.userAgent.indexOf('Opera') == -1)&&(navigator.appName != 'Netscape') &&(navigator.userAgent.indexOf('MSIE') > -1) &&(navigator.userAgent.indexOf('SV1') > -1) &&(ver >= 4);if (ver2){if (document.links){for (var i=0; i<document.links.length; i++){if (document.links[i].target != "_blank"){document.links[i].onclick_copy = document.links[i].onclick;document.links[i].onclick = show_pop;}}}}document.onclick_copy = document.onclick;document.onmouseup = show_pop;}pop_init();}

    Erstellt mit Firebug

    Moin!

    Zitat von curcuma

    Das ist von großer Bedeutung weil der Geschäftsführer
    der Firma die Webseite meiner Tante prorammiert hat - somit (Verweis bzw. Querverweis) dürfte dann ganz klar nachweisbar sein, dass Haloteam mit Sinclare Vabalon, BHG aus Gibraltar was zu tun hat !

    Den Schluß ziehe ich nicht daraus. Möglich ist es , daß die Firma
    selbst Opfer eines Angriffes geworden ist.
    Gefunden habe ich den Querverweis bei Tante Google.
    Dort wird die URL als Teil des Portfolios der Firma genannt.
    Was ja,Deiner Angabe zufolge , auch stimmt.Wenn sie die Seite auch betreuen , haben sie sicherlich mit den oben genannten zu tun - aber nicht zwangsläufig freiwillig.
    Zur Trojanermeldung auf der Seite:
    AntiVirPE (mit frischer Signatur) und Fx 2.0.0.16 gab keine Meldung - mit dem IE schon. Ich habe sie ignoriert , die 2 hinterher verdächtigen Dateien
    isoliert und Avira geschickt.
    Ich würde mich an den Betreuer/Hoster Eurer Seite wenden und sie schlicht aus dem Verkehr ziehen; mindestens vorübergehend , bis die Sache geklärt ist.

    Bis später
    Gruß
    P.

    @ Ulli
    Erst mal vielen Dank !

    Leider bin ich kein Programmier-Guru...aber selbst beim überfliegen habe ich nirgendwo eine URL sprich Link zu irgend einer Seite gefunden ?!?!? Kann mir vielleicht jemand sagen was diese Javascript-Zeitle genau macht ???

    @ PvW
    Moin, Moin !
    Danke für die Infos !!!
    Ich werde heute veranlassen, dass die Seite erst mal aus dem Verkehr gezogen wird - so lange bis a) der Sachverhalt mit der Werbung und b) die AntVir-Meldung geklärt ist. Währe echt sehr nett, wenn Du posten könntest, wenn Avira sich meldet (Virus oder Fehlermeldung) ! Dann kann ich mir das sparen selbst zu Avira zu mailen. DANKE ! Bdw: Ich hatte auch mit einer frischen und einer etwa 1 Woche alten Signatur die gleiche Fehlermeldung...nur komischerweise immer nur wenn die Seite mit IE5 geöffnet wird, mit Firefox nicht.

    wie oben schon geschrieben. ich hab die virusmeldung auch mit firefox bekommen.

    Gruss
    Raiko

    Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.10) Gecko/20100914 Firefox/3.6.10 - Build ID: 20100914123505

    Zitat

    aber selbst beim überfliegen habe ich nirgendwo eine URL sprich Link zu irgend einer Seite gefunden


    Steht doch im Code:

    Code
    var pop_wnd = "http://cqamfgves.com/cgi-bin/index.cgi?dx";
    Zitat

    Kann mir vielleicht jemand sagen was diese Javascript-Zeitle genau macht


    Sie öffnet das Pop-Fenster. Nebenbei wird versucht einen Cookie zu setzen, der die Zugriffszeit speichert. Es existiert zudem eine Zeitsperre, in der das Pop-Fenster nicht mehr angezeigt wird. Mehr auch nicht.

    Interessanter wäre gewesen, was hinter dem Link steckte, allerdings sieht es so aus, als ob das derzeit tot ist. Die Domain ist bei FirstLook geparkt.

    Zur Virenmeldung:
    Das kann auch eine generische Erkennung der JS-Obfuscation sein.

    Zur Speicherauslastung:
    Das dürfte an der Frame-Rekursion liegen:

    Aus dem Code von http://www.vesnasouc.co.yu/biography/

    Code
    <frameset cols="*,470,280,*" border="0" frameborder="0" framespacing="0" marginheight="0" marginwidth="0" bordercolor="#000000">
    <frame src="../blank.html" frameborder="No" scrolling="No" noresize marginwidth="0" marginheight="0">
    <frame src="information.html" frameborder="" scrolling="No" noresize marginwidth="0" marginheight="0">
    <frame src="../blank.html" frameborder="No" scrolling="No" noresize marginwidth="0" marginheight="0">
</frameset>

    Die Seite http://www.vesnasouc.co.yu/information.html definiert nun wieder das selbe Frame-Set, ruft sich selbst also rekursiv auf. Es sollte reichen diese Rekursion im Code zu unterbrechen.
    Am Rande:
    Webdesigner, die so einen Mist produzieren taugen nichts.

    @ boardraider

    OK...ich bin offensichtlich blind....oder es war noch zu früh am Morgen :oops:

    Das mit der Zeitsperre ist auch nett zu wissen. Kam beim mir aber nicht zum Tragen da Firefox so eingestellt ist, dass alle Cookies beim schließen gelöscht werden - somit wurde die Werbeseite bei jedem Aufrufen der Seite (nach vorherigem Schließen von Firefox) geladen. Das Laden geschieht aber wie bereits gesagt nicht sofort sondern erst wenn man auf der Startseite irgendwo drauf clickt.

    Stimmt, der Link scheint "Halb-Tot" zu sein d. h. geparkt auf der Firstlook-Domain.

    In Sachen Virenmeldung warte ich mal ab was Avira dazu sagt - oder was muss genau verändert werden, damit AntiVir (und ggf. auch andere Virenscanner) nicht Alarm schlagen??? Ist das vielleicht gerade die "omnöse" Javascript-Zeile die AntiVir weckt ?

    Ja, das mit dem Webdesigner sehe ich genau so und deswegen sind wir jetzt auf der Suche nach einem neuen.
    Nochmals vielen Dank auch Dir für alle Infos !!! SEHR HILFREICH !!!

    Zitat

    Kam beim mir aber nicht zum Tragen da Firefox so eingestellt ist, dass alle Cookies beim schließen gelöscht werden


    In dem Fall ist der Code natürlich wirkungslos.

    Zitat

    Das Laden geschieht aber wie bereits gesagt nicht sofort sondern erst wenn man auf der Startseite irgendwo drauf clickt.


    Das ergibt sich daraus, dass de JS-Code den MouseUp-Handler verändert:

    Code
    document.onmouseup = show_pop;
    Zitat

    Ist das vielleicht gerade die "omnöse" Javascript-Zeile die AntiVir weckt ?


    Ja.

    Zitat

    oder was muss genau verändert werden, damit AntiVir (und ggf. auch andere Virenscanner) nicht Alarm schlagen?


    Je nach dem wie die Scanner den Code erkennen - das müssen die jeweiligen Hersteller anpassen. Zunächst einmal sollte der Code natürlich von der Webseite runter. Sinnvolles bewirkt er ohnehin nicht und die Verschleierung des Codes bewirkt eben bei manchen Scanner das diese entsprechende Meldungen verursachen. Das liegt daran, dass diese Verschleierungstechniken von Bösewichten oft genutzt werden, um ihren Schadcode vor dem Laien zu verbergen.

    Problem behoben - da soll sich jemand reingehackt haben, der Webdesigner+Sitebetreuuer weiß von nichts.
    Hat den JS-Mist sofort entfernt und auch das "aufblähen" von Firefox ist beseitigt...bis auf evtl. eine Stelle und das wird wohl auch noch heute bereinigt.

    Wer also jetzt auf die Seite geht wird die Fehler nicht mehr finden.

    @ ALL
    :klasse: :klasse: :klasse: *** VIELEN, VIELEN DANK FÜR EUERE HILFE & SUPPORT !!!! *** :klasse: :klasse: :klasse: